.LOCKY nieuwe crypto locker virus

Jaaaaaa, het is alweer raak...

Edit: Deze keer weer +-850 euro

[ Voor 34% gewijzigd door Methmaniac op 04-03-2016 13:08 ]

Ik kreeg vandaag een rare mail van een onbekend iemand. De naam klonk wel Russisch (Anna Pomeshkina Anna.pomes hkina@gmail.com).

Er was geen inleiding of zo vrij direct kreeg ik in de mail de bijlage te zien. Het was een online bijlage, een link naar docusign om daar een document te bekijken en te 'ondertekenen'. Laat ik nou beroepshalve overeenkomsten met potentiële opdrachtgevers tekenen, en hun bijlages openen. Maar deze vertrouwde ik niet omdat ik de naam niet herkende en nooit mijn diensten heb aangeboden aan zo iemand laat staan op het punt zijn een samenwerkingsovereenkomst te sluiten. Ik opende daarom het bestand niet. Maar ik kan goed begrijpen hoe andere mensen dat zouden doen, zelfs ik op een veel minder oplettend moment zou blindelings erop geklikt kunnen hebben zonder de naam te controleren of de (het gebrek aan) inhoud.

Ik verwijderde vervolgens de mail door hem bij google als phishing/spam te rapporteren. Wat voor effect dat zal sorteren valt nog te bezien, in google rapporteren heb ik ervaringsgewijs niet zoveel vertrouwen in.

Ik ben vooral verbaasd/lichtelijk geschokt door het feit dat zo iemand aan mijn mailadres is gekomen. Ik bedoel waarom mij? Ik geloof niet dat ik mij ingelaten heb met rare internetfiguren de laatste tijd. Wel heb ik overigens voortdurend last van mailspam maar dat wordt voor mij netjes door google in het spamvak gefilterd- al zou ik liever hebben dat het fysiek afgeslagen wordt en daardoor mijn box niet eens bereikt, maar dat terzijde. Ik ben eerder bang dat zulke mensen ook in de toekomst kunnen proberen mij te slachtofferen met deze ongewenste mails want ze hebben nu eenmaal mijn mailadres. Hoera zeg.

Juist het markeren als spam/phishing zal eerder resulteren dat eenzelfde mail bij anderen eerder in de spambox verdwijnt. Uiteraard kan bij een volgende mail het voorkomen dat anderen deze juist markeren en dat jij hem dus niet eens ziet.

Hoe komen ze aan je mail adres? Gelekte database, slecht beveiligde webshop, mailinglist gekaapt enz. enz.
Geef of laat alleen wanneer hoognodig je mail adres af. En in geval van Android, tsja kwam ik van het weekend achter door iets voor iemand te installeren, je gmail adres staat al vooringevuld in een veld in de app, hopelijk wordt dit niet zomaar naar de servers van de app maker gestuurd! Want er zijn ook talloze apps die alleen maar uit zijn op data mining

Nu specifiek voor dit LOCKY virus :

Zijn er mensen die betaald hebben en de decrypt sleutel hebben gekregen ?
Ik heb een systeem die prijs heeft en de back-up niet in orde is.
Men vraagt 0,5 bitcoin wat nu wel nog te doen is, als je geen andere optie hebt.

Ja, toen de bitcoin-bank de transactie goedkeurde werd het systeem de dag erna ontsleuteld.

Qwerty-273 schreef op vrijdag 26 februari 2016 @ 16:45:
Is er ergens een lijst met messagesubjects beschikbaar? We zien dat Locky bij ons ook binnenkomt en zouden graag zien wie het ontvangt op basis van onze mail gateway - de anti-virus zit verder dieper in de mail flow infra laag en pikt er een aantal uit. De rest wordt voornamelijk gedetecteerd door de av op de client (met 1 client die het toch voor elkaar kreeg om zichzelf te encrypten). Daarom willen we proberen te zien op basis van de mail logs zelf, waar we aandacht aan moeten besteden

Voorbeelden van subjects die we voorbij zien komen:

• ATTN: Invoice J-78022281
• VAT Invoice - Quote Ref: ES0142570
• Order Conf. 3360069
• [name] , Here is your VAT Invoice - Quote Reference: 0128020
• [name] , Here is your VAT Invoice - Quote Ref: 0176850
• [name], Here is your VAT Invoice - Quote Reference: 0174370ount today.|Ignoring this account hurts you and your company.|I want to remind you about your payment obligation|Information on your account|Disregarding this account hurts you|Unfortunately, you have an outstanding issue requiring your attention}

Ik heb er zo'n 20 gehad bij ons, ik zal eens kijken of een lijstje kan maken.

• FW: Payment #119807
• FW: Payment #237911
• RE: Refund RF-574457
• FW: Refund RF-574457
• FW: Refund RF-251575
• FW: Order F-326805
• FW: Payment ACCEPTED M-972762
• FW: Payment 16-03-#215269
• FW: Invoice 2016-M#638432
• FW: Invoice 2016-M#538645
• FW: Invoice 2016-M#032657
• RE: Unpaid Invoice #900460
• FW: Shipping Information - Your Order #234-3877
• Shipping Information - Your Order #534-6228
• Ihre Paket ist am lager.
• Transaction and Payment Confirmation
• scanned image (gespoofed van ons eigen domein nog wel)

Dat was het een beetje voor nu. Dit zijn slechts enkele inboxen. Ik wil niet weten hoeveel er in de rest staat. Wij hebben ons spamhoster ook een extra filter aan laten zetten met betere scans op .zip's, maar dat lijkt nog weinig resultaat te hebben.

[ Voor 3% gewijzigd door Ircghost op 18-03-2016 11:00 ]

Hier maandag een klant in paniek..
CrySiS ransomware.
2,5 BTC moeten betalen, hierna nog niet alle bestanden terug..
Klein MKB met 7 werkstations, allemaal versleuteld.
Backup was al maanden niet gemaakt ("ja, HDD is kwijt en leek niet zo belangrijk").
Oude IT partij is direct de laan uitgestuurd (ook vanwege 3 jaar geen update te hebben uitgevoerd maar wel betalen).
Je krijgt na betaling een programma (decrypter), systeem laten scannen, weer mailen met de code en dan weer afwachten op een code terug.
Gelukkig netjes reactie elke keer gekregen.

Bij een bekende is 't ook raak. Er wordt 3 BTC gevraagd. Er lijken dus nu maar een paar opties:

-Take your losses
-Wachten op evt decrypt tool van bonafide bedrijven.
-Betalen en decrypt tool krijgen
-Betalen en nooit meer wat van ze horen.

Hoe dan ook een pc reinstall.

Leuk weekeinde zo.

optie 2 lijkt me onmogelijk: ze houden ergens centraal bij met welke private key het encrypted is, ik kan me slecht voorstellen dat een bonafide bedrijf bij die centrale database kan komen.
optie 4 lijkt niet echt het geval.

Dus dan blijven er 2 opties over: take your losses, of zorg ervoor dat criminelen een financiele stimulans krijgen om dit soort dingen te ontwikkelen. Betalen lijkt me om die reden een slechte keuze, zeker als het om zoveel geld gaat.

Laatst belde een oom me op met de vraag of ik wist wat met zijn PC aan de hand was, hij "kon geen programma's openen" en er verscheen een melding in beeld. Ik vermoedde al het ergste en stond binnen een half uur op de stoep. Na 5 seconden had ik het al gezien, alles gelocked...

Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...

Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.

Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen .

Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing

[ Voor 8% gewijzigd door Kuusj op 20-03-2016 18:46 ]

kuusj98 schreef op zondag 20 maart 2016 @ 18:41:
Laatst belde een oom me op met de vraag of ik wist wat met zijn PC aan de hand was, hij "kon geen programma's openen" en er verscheen een melding in beeld. Ik vermoedde al het ergste en stond binnen een half uur op de stoep. Na 5 seconden had ik het al gezien, alles gelocked...

Hoe het binnen is gekomen? Mijn nichtjes zoeken van alles op dat ding op, en ook vaak "antwoorden van huiswerk" en zulke zaken, waarschijnlijk is hij hierdoor of door een email-bijlage geïnfecteerd. Niets blijkt minder waar te zijn, want eenmaal daar vertelde mijn oom dat zijn werk-laptop met duizenden werk-gerelateerde bestanden eerder die week dezelfde melding had gekregen. Mijn tante kwam erbij staan, zegt dat bij haar op het werk ook een groot aandeel PC's eenzelfde soort "melding" kregen. Hoe, wat en waar alles precies is ge-encrypt zal dus nooit duidelijk worden, maar gelukkig heb ik er zelf een jaar geleden met klem op gehamerd dat ze zich alle foto's moesten back-uppen. De foto's vallen mij opeens in, en dan krijg ik te horen "ja, maar zo erg zal het toch wel niet zijn, of wel dan?"...

Een jaar aan niet back-upped foto's weg, werkbestanden weg, veel ellende voor mij erbij, en een wijze les. Ze waren op mijn oom zijn werk juist die week aan bezig om alles in de cloud te zetten, maar nu was er natuurlijk geen enkele backup.

Ouders in paniek, andere familieleden in paniek, paniek paniek en nog eens paniek, en wie mag weer voor een "oplossing" zorgen die niet bestaat? Juist...
Opeens wordt er na een RTL-nieuws aflevering aan mij gevraagd door diverse mensen om een back-up te maken, dit te doen, dat te doen en zus te doen. Jammer, ik heb wel meer te doen dan uren stressen .

Laatste tijd trouwens echt een shit-load aan spamberichten in m'n mail, enkele kansenpareltjes met vermoedelijk cryptolockers van de afgelopen paar dagen:
- Invoice XEINV00659 from Tip Top Delivery
- RE: BACANORA MINERALS LTD - Order Number 69781/286466/64 status updated to order processing

Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...

Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.

GerardVanAfoort schreef op zondag 20 maart 2016 @ 19:34:
[...]

Je moet ook niet stressen en je van de wijs laten brengen. Gewoon meenemen die hap goed geld vragen, dat is een les. Familie of niet tips gegeven, genegeerd, blaren...

Eerlijk, ik doe ook veel onderhoud, herstel of installs voor weinig of ook vaak gratis. Maar deze ellende en kop in het zand mentaliteit pas ik een beetje voor. Uiteraard zorg ik wel voor behoorlijke beveiliging.

Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.

Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"

Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.

kuusj98 schreef op zondag 20 maart 2016 @ 19:44:
[...]

Wellicht ben ik te zorgzaam voor anderen hun spullen, en dan ben ik ook nog iemand die niet zomaar geld wil krijgen voor een klusje hier of daar. Helaas krijg je als systeembouwer al snel mensen aan de telefoon als er ook maar iets is wat niet 100% werkt, terwijl ik er natuurlijk niks aan kan doen dat ze niet weten hoe een printer werkt of dat ze geen "meek joer windhoos 1000% fastur wit wan klik!!1one!" software moeten installeren.

Zelfde met die verdomde cryptolockers, de mensen kunnen niks met hun PC, hebben geen backup gemaakt en vertrouwen vervolgens op de goedheid en kennis van hun neefje of vriend om voor een tientje even een hoop uren arbeid te leveren. In de zogenaamde computerwinkel betalen ze het tienvoudige en ik heb de ballen niet om te zeggen: "ja, dáág! Eigen schuld, dikke bult!"

Zolang virusscanners hun werk niet goed doen, mainstream-gebruikers blijven doen alsof hun verstand nog niet tot het einde van hun neus reikt en cryptolockers geld blijven krijgen van mensen die geen back-up hebben maar toch hun hele hebben en houden op dat ding hebben staan ben ik bang dat er voor iedere Tweaker nog méér dan genoeg werk is.

Naar familieleden kan je je het beste opstellen als een consultant. Zo zal een familielid dat in de financiële beleggingswereld ook nooit geld van familieleden beleggen. Hij kan wel advies geven maar zal het nooit uitvoeren voor de familieleden.

Zo moet je ook omgaan met de computers van familieleden.

Het blijft bij ons ook nog regelmatig voorkomen.
Je kunt je systeem dichtspijkeren wat je wilt maar het is altijd nog de mens die in dit geval de fout maakt.
En aangezien je je klanten ook niet altijd tegen hunzelf kunt beschermen zal dit nog wel vaker voorkomen (sommige klanten willen hier niets van weten want 'ze weten wel wat ze doen'. Totdat ze geïnfecteerd zijn en bij ons aankloppen: 'Het was ineens zo').
Het enige waardoor je de schade zoveel mogelijk beperkt is je back-up voor elkaar hebben en een plan hebben voor als het fout gaat.

De laatste week heb ik hier 3 infecties gehad..., de ene vroeg om 0.5 de andere twee om 2 bitcoin. Het lulligste is dat 2 geen backups hebben en dus de foto's als verloren beschouwen...., de andere maakt een backup iedere week en heeft dus wel wat meer geluk...

Ik installeer eigenlijk altijd EMET op iedere welke ik ontvang, gezamelijk met Kaspersky Internet Security, maar in hoeverre beschermt dit het nu?

Wat is een extra manier om te controleren of je systeem niet onderhuids wordt aangetast? Hashes maken van de hele schijf en die periodiek vergelijken? Zoeken naar *lock* in bestandsnamen? Iets anders?

Op m'n mailserver bemerkt ik een vrij forse stijging in geinfecteerde mails. Helaas niet omdat m'n virusscanner ze eruit pakt, sterker nog met een analyse met virustotal.com: https://www.virustotal.co...ca89/analysis/1458594289/ lijkt het merendeel van de virusscanners niet op te pakken. (oa de virusscanners (clamav en f-prot) op mijn mailserver)

Keiichi schreef op maandag 21 maart 2016 @ 22:34:
Op m'n mailserver bemerkt ik een vrij forse stijging in geinfecteerde mails. Helaas niet omdat m'n virusscanner ze eruit pakt, sterker nog met een analyse met virustotal.com: https://www.virustotal.co...ca89/analysis/1458594289/ lijkt het merendeel van de virusscanners niet op te pakken. (oa de virusscanners (clamav en f-prot) op mijn mailserver)

Hoe ontdek je nu dat het geïnfecteerde mails zijn?

Order_details.zip zegt wel genoeg.
Kun je gewoon op filteren.

Verwijderd schreef op maandag 21 maart 2016 @ 22:35:
[...]

Hoe ontdek je nu dat het geïnfecteerde mails zijn?

Bestand opslaan, uploaden naar virustotal.com . En ik denk als ik 10x binnen een paar uur een zelfde mail krijg met m'n 'order status' (subjects als 'FW: Order Status #590365') dat ik ook ergens mag aanneme dat niet iemand per ongeluk zip files met echte informatie toestuurt.

dutchgio schreef op maandag 21 maart 2016 @ 22:43:
Order_details.zip zegt wel genoeg.
Kun je gewoon op filteren.

En de mails met al die andere signatures?

Verwijderd schreef op maandag 21 maart 2016 @ 23:04:
[...]

En de mails met al die andere signatures?

Gewoon *.zip en *.exe, niet echt reguliere bijlages.

dutchgio schreef op maandag 21 maart 2016 @ 23:09:
Gewoon *.zip en *.exe, niet echt reguliere bijlages.

Ik kan me niet aan de indruk onttrekken dat we collectief steeds achter de feiten aanlopen. Eerst waren het .docs met macro's, toen Javascript-bestanden, nu .zips en .exes. Filteren helpt, maar levert ook een vals gevoel van veiligheid op.

[ Voor 3% gewijzigd door Verwijderd op 21-03-2016 23:16 ]

Hier gisteren ook heel de zaak plat. De infectie startte doordat er een javascript bestand in een email bijlage (zip) geopend was. Het script zelf is moeilijk te lezen om het zo obscuur mogelijk gemaakt is, maar volgens mcafee download en voert het het locky-virus uit.

Nu vroeg ik me af, als Chrome als standaard browsen is ingesteld, vangt de sandbox in chrome (het downloaden van) dit soort malware dan af?

Gisteren kreeg ik ineens melding van een persoonlijk emailaccount met een malafide bijlage, .zip met javascript erin. Nou is dat niet heel bijzonder.
Maar het opmerkelijke was alleen dat de afzender hetzelfde, eigen emailadres was.

Eerste gedachte is dan een geinfecteerd systeem met dat mailaccount, maar het mailaccount wordt eigenlijk alleen gebruikt op een iPad, waarvan de kans op infectie toch aanzienlijk lager ligt...
Ook is de mail niet naar andere contacten verstuurd, alleen naar zichzelf. Van een compromise van het mailaccount via webmail oid lijkt dus ook geen sprake, al is het wachtwoord wel direct veranderd.

Al met al nogal vreemd. Is dit een trucje(?) om de mail als legitiem te laten lijken of is het mailaccount daadwerkelijk geinfecteerd?

Meestal een truc. Zie: Wikipedia: Email spoofing

Wel betekent dit dat je mail adres bekend is in bepaalde criminele kringen.
Je kan dus meer van dit soort spul verwachten in de toekomst.

Ik heb voornemens om op mijn Synology NAS een externe HD aan te sluiten en dan dagelijks / wekelijks hier een back-up te laten maken. Kan het zo zijn dat mocht de NAS geïnfecteerd worden dan ook de externe HD geïnfecteerd word?

dutchgio schreef op woensdag 23 maart 2016 @ 11:00:
Gisteren kreeg ik ineens melding van een persoonlijk emailaccount met een malafide bijlage, .zip met javascript erin. Nou is dat niet heel bijzonder.
Maar het opmerkelijke was alleen dat de afzender hetzelfde, eigen emailadres was.

Eerste gedachte is dan een geinfecteerd systeem met dat mailaccount, maar het mailaccount wordt eigenlijk alleen gebruikt op een iPad, waarvan de kans op infectie toch aanzienlijk lager ligt...
Ook is de mail niet naar andere contacten verstuurd, alleen naar zichzelf. Van een compromise van het mailaccount via webmail oid lijkt dus ook geen sprake, al is het wachtwoord wel direct veranderd.

Al met al nogal vreemd. Is dit een trucje(?) om de mail als legitiem te laten lijken of is het mailaccount daadwerkelijk geinfecteerd?

Klopt, dat was met de besmette mails hier exact hetzelfde. Waarschijnlijk om de gebruiker te verleiden om het toch te openen inderdaad (waar hier dus iemand in trapte helaas )

Neefdave schreef op woensdag 23 maart 2016 @ 11:16:
Ik heb voornemens om op mijn Synology NAS een externe HD aan te sluiten en dan dagelijks / wekelijks hier een back-up te laten maken. Kan het zo zijn dat mocht de NAS geïnfecteerd worden dan ook de externe HD geïnfecteerd word?

Als je de files op je externe disk gewoon overschrijft, dan ja ...
Best is om online backups te maken met een tool die file versions ondersteund, bijvoorbeeld CrashPlan

cornfed99111 schreef op woensdag 23 maart 2016 @ 11:10:
Meestal een truc. Zie: Wikipedia: Email spoofing

Wel betekent dit dat je mail adres bekend is in bepaalde criminele kringen.
Je kan dus meer van dit soort spul verwachten in de toekomst.

Ik had al zo'n vermoeden, kon alleen niet achterhalen wat voor 'truc' het dan zou zijn. Dit klinkt wel mogelijk.

Vanuit het voorbeeld, die wel duidelijke uitleg geeft:
"Alice is sent an infected email which she opens, running the worm code.
The worm code searches Alice's email address book and finds the addresses of Bob and Charlie.
From Alice's computer, the worm sends an infected email to Bob, but forged to appear to have been sent by Charlie."

Je hoeft dus zelf niet kwetsbaar te zijn. Het kan dus ook dat 'Charlie' in dit stuk niet voorkomt maar voor zowel de zender als de gespoofde afzender Bob is in dit geval.
En wie Alice, degene die kwetsbaar is maar jouw emailadres in zijn/haar adresboek heeft, kun je natuurlijk nooit achterhalen.

De nas ondersteunt ook backup met multi file version. Dit is niet genoeg?

dutchgio schreef op woensdag 23 maart 2016 @ 11:22:
[...]
En wie Alice, degene die kwetsbaar is maar jouw emailadres in zijn/haar adresboek heeft, kun je natuurlijk nooit achterhalen.

Er zijn inderdaad veel manieren om mail adressen te achterhalen.
Winkels/fora/sites worden gehackt en het mailbestand wordt gekopieerd.
Of er wordt ouderwets gezocht.
Dus als je namen zoals dutchgio kent, dan stuur je mails naar dutchgio1, dutchgio2 enz. @ live.nl, outlook.nl gmail.com enz. tot je beet hebt. Mail adressen die niet bestaan bouncen en de rest is beet.
De meeste mailadressen zijn simpel verzonnen namen of variaties ervan.

Zou ook kunnen inderdaad. Komt er dus op neer dat de oorzaak niet te achterhalen is en er verder ook niet veel aan te doen is.
Ik heb ze in ieder geval bewust gemaakt om die mails met .zip niet te openen maar te verwijderen, al zou de impact op een iPad sowieso beperkt blijven.
Verder 'reguliere' mails met @mass-mail.com of iets in die trend in de spammap gezet, dergelijke mails zouden dan uit de inbox moeten blijven.

Of je moet dat mail adres afstoten. Dus niet meer gebruiken/braak laten liggen.
Dan moet je wel alle serieuze adressen en sites en dergelijke aanpassen naar het nieuwe adres.
Als dat niet al te veel zijn, is dat een optie om te overwegen.
Er bestaan immers genoeg gratis mail adressen/providers.

cornfed99111 schreef op woensdag 23 maart 2016 @ 13:06:
Of je moet dat mail adres afstoten. Dus niet meer gebruiken/braak laten liggen.
Dan moet je wel alle serieuze adressen en sites en dergelijke aanpassen naar het nieuwe adres.
Als dat niet al te veel zijn, is dat een optie om te overwegen.
Er bestaan immers genoeg gratis mail adressen/providers.

Hier ook wel overwogen maar in veel gevallen is dan niet echt een optie omdat klanten al jaren gewend zijn om naar een bepaald adres te mailen. Natuurlijk kun je dan bouncen met een nieuw emailadres erin, maar erg klantvriendelijk is dat niet natuurlijk. Daarnaast blijft het raden hoe ze aan je emailadres gekomen zijn en dus zou het zomaar kunnen dat de verspreiders van deze malware binnen de kortste keren weer de nieuwe adressen hebben; als een contact van je werknemers/klanten malware heeft die alle email-adressen uit het adresboek upload, dan staan deze adressen weer binnen de korste keren in een email-database die wordt aangeboden aan spammers.
Wij zitten te kijken momenteel of we de spam niet effectiever af kunnen vangen voordat het bij de eindgebruikers aankomt.

mailadres is inderdaad al jaren oud, en dan moet je bij aanmaak van de nieuwe, de oude er nog altijd bijhouden voor die ene mail die dan weer naar het oude emailadres gestuurd wordt.
Het is inderdaad meer een oplossing om dergelijke mail te filteren dan om een nieuw account in gebruik te nemen.

Nog nooit last gehad van een Crypto locker of zo. (zakelijk wel)
Gebruik nu een Astaro / Sophos Firewall scant op Level 7
(Instellen kost wel wat kennis maar is goed te doen)
Je heb zelf geen lokale virusscanner meer op je enpoints nodig.
Software is Gratis en kan je zo downloaden voor Thuis gebruik Zeker aan te raden. Wordt in Groote organisaties ook gebruikt. Echt een aanrader. Kan het ook op een Simple Pctje installen draait het ook op.

https://www.sophos.com/en...irewall-home-edition.aspx

[ Voor 9% gewijzigd door Raoul.TLS op 23-03-2016 14:22 ]

Hier op de zaak deze week nu al meer dan 5 klanten die .zip bestanden openen zonder kritisch naar de inhoud te kijken. Gaat wel los nu lijkt het.

Wat je ook kan uitproberen, is om je mailprogramma standaard in een sandbox te draaien.
In theorie blijft een eventuele besmetting beperkt tot de sandbox en blijft de rest van je systeem verschoont.
Interessant voor alle 'klik op alle vensters ja' gasten. Die leren dat toch nooit meer om met zorg om te gaan met bijlages.

Dat klinkt als een leuk idee, tot je een keer een bestand buiten de sandbox nodig hebt. Stel je voor, een bijlage die je moet openen in een programma, heel raar. Als je gebruikers leert hoe ze dat moeten doen buiten de sandbox, dan is het effectief 2x extra op ja klikken, en helpt dus geen bal.

MBV schreef op woensdag 23 maart 2016 @ 21:49:
Dat klinkt als een leuk idee, tot je een keer een bestand buiten de sandbox nodig hebt. Stel je voor, een bijlage die je moet openen in een programma, heel raar. Als je gebruikers leert hoe ze dat moeten doen buiten de sandbox, dan is het effectief 2x extra op ja klikken, en helpt dus geen bal.

Je zou dat ook in de sandbox kunnen draaien, al neemt dat zeker niet alle bezwaren weg. Zonder bewuste gebruikers is een sandbox slechts een extra hinder, maar levert het niet meer veiligheid op.

Verwijderd schreef op woensdag 23 maart 2016 @ 21:52:
[...]

Je zou dat ook in de sandbox kunnen draaien, al neemt dat zeker niet alle bezwaren weg. Zonder bewuste gebruikers is een sandbox slechts een extra hinder, maar levert het niet meer veiligheid op.

En dan is daarmee je sandbox de vervanging van je echte systeem geworden, wat dus stuk gaat door pak-em-beet locky. Welk probleem los je dan op met een sandbox?

MBV schreef op woensdag 23 maart 2016 @ 21:57:
En dan is daarmee je sandbox de vervanging van je echte systeem geworden, wat dus stuk gaat door pak-em-beet locky. Welk probleem los je dan op met een sandbox?

Shift + delete sandbox, probleem opgelost. Dat je twee programma's draait in een sandbox betekent niet dat je hele systeem erin draait of geïnstalleerd staat. Je voert ze er alleen in uit.

Verwijderd schreef op woensdag 23 maart 2016 @ 21:59:
[...]

Shift + delete sandbox, probleem opgelost. Dat je twee programma's draait in een sandbox betekent niet dat je hele systeem erin draait. Je voert ze er alleen in uit.

Soms moet je bijlagen ook echt gebruiken. Als je dat aan een ja-klikker uitlegt zal hij dat de volgende keer vanzelf doen. Als je het maakt zodat hij niet de sandbox uit hoeft, heb je hetzelfde effect als format C: alle gegevens zijn weg.

MBV schreef op woensdag 23 maart 2016 @ 22:05:
Soms moet je bijlagen ook echt gebruiken. Als je dat aan een ja-klikker uitlegt zal hij dat de volgende keer vanzelf doen. Als je het maakt zodat hij niet de sandbox uit hoeft, heb je hetzelfde effect als format C: alle gegevens zijn weg.

Daarmee zijn we terug bij mijn eerdere post

Verwijderd schreef op woensdag 23 maart 2016 @ 21:52:
Je zou dat ook in de sandbox kunnen draaien, al neemt dat zeker niet alle bezwaren weg. Zonder bewuste gebruikers is een sandbox slechts een extra hinder, maar levert het niet meer veiligheid op.

Het is een middel om leed te voorkomen, maar vooral of zelfs alleen als je je bewust bent van de mogelijkheden en beperkingen. Dan is het waarschijnlijk sneller om de gebruiker te leren kritischer te zijn.

Gisterenavond zat ik een beetje te spelen op mijn telefoon, opeens kreeg ik een vreemd mailtje binnen op mijn werk adres en zag dat er een bijlage bij zat ;-) dat leek wel erg verdacht

Dus toen heb ik mar eventjes onderstaand mailtje uitgestuurd naar iedereen@bedrijfsnaam.tld

Collega's,
Open a.u.b GEEN mailtjes met bestanden die .zip bestanden bevatten op je PC. Op dit moment zijn er spammers aan de gang die zogenaamde cryptolockers verspreiden. Deze bestanden zijn een soort van virussen die je gehele hardeschijf én ook alle netwerk schijven die benaderbaar zijn.
Voorzichtigheid is dus geboden. Virusscanners houden dit helaas niet altijd tegen.
Het gebruik van het gezonde verstand is dus geboden.
Groet,
Priyantha Bleeker
Sent from Outlook Mobile

Kreeg vrijwel direct daarna een reply van mijn manager waarin hij mij bedankte voor het mededelen

nieuwe ransomware,mhoxmth locker, "betrouwbare factuur KPN mail" ontvangen en op geklikt, nu zijn alle jpg's van naam veranderd met de toevoeging mhoxmth, en alle pdf idem, kwijt, backup defect, 100.000 den foto's en pdf's weg, vragen geld voor decryptie, wie helpt mij ?

Verwijderd schreef op dinsdag 29 maart 2016 @ 16:29:
nieuwe ransomware,mhoxmth locker, "betrouwbare factuur KPN mail" ontvangen en op geklikt, nu zijn alle jpg's van naam veranderd met de toevoeging mhoxmth, en alle pdf idem, kwijt, backup defect, 100.000 den foto's en pdf's weg, vragen geld voor decryptie, wie helpt mij ?

Met zoveel bestanden encrypten is een virus wel even bezig. Weet je zeker dat de boel geëncrypt is en niet alleen van een nieuwe naam voorzien?

Overigens illustreert jouw geval wel waarom je backups niet direct aan je systeem wilt hebben hangen. Het is zeker mosterd na de maaltijd, maar daardoor niet minder relevant.

Dat kan niet als het ge-encrypt is en ze niet alleen de file names veranderd hebben.
Zonder back-up is betalen de enige optie om er weer bij te komen...

Verwijderd schreef op dinsdag 29 maart 2016 @ 16:34:
[...]

Met zoveel bestanden encrypten is een virus wel even bezig. Weet je zeker dat de boel geëncrypt is en niet alleen van een nieuwe naam voorzien?

Ik meen ooit eens gelezen te hebben dat sommige cryptolockers slechts een deel van het bestand versleutelen. Voldoende om het bestand effectief onbruikbaar te maken, maar een heel stuk sneller dan het volledige bestand door de versleutelingsfunctie te halen.

Verwijderd schreef op dinsdag 29 maart 2016 @ 16:29:
100.000 den foto's en pdf's weg, vragen geld voor decryptie, wie helpt mij ?

Betalen of afscheid nemen van de bestanden zijn de enige oplossingen met zekerheid.

In het verleden zijn er wel eens unlock-tools uitgebracht door anti-malware bedrijven die bestanden in specifieke gevallen konden ontsleutelen, maar dit was enkel mogelijk in specifieke situaties waar de versleuteling erg zwak was of de aanvaller fouten had gemaakt in de opzet van de aanval. De kans dat dit, na vele iteraties van cryptolocker malware, nog steeds mogelijk is, is miniem. Een degelijke versleuteling die goed is geimplementeerd is effectief onkraakbaar.

Passen jullie wel op mensen zomaar aan te raden te betalen? Buiten dat er nul zekerheid is dat je ook daadwerkelijk je bestanden terugkrijgt (ook al is het model erop gebaseerd dat een redelijk deel van de mensen hun bestanden wel terugkrijgt), stimuleer je zo ook prachtig de ontwikkeling van nog slimmere en engere varianten van deze virussen. Daar worden we collectief niet beter van.

De enige juiste methode is nog steeds niet te betalen voor dit soort grappen. Pas als je echt geen andere keuze meer hebt, is het het overwegen waard.

Aanraden is het niet, maar zonder backup is het wel de enige mogelijkheid tot.
Uiteraard is dat geen oplossing van het probleem in z'n geheel maar als je echt gegevens hebt waar je niet zonder kunt is dat wel de enige optie.

dutchgio schreef op dinsdag 29 maart 2016 @ 17:00:
Aanraden is het niet, maar zonder backup is het wel de enige mogelijkheid tot.
Uiteraard is dat geen oplossing van het probleem in z'n geheel maar als je echt gegevens hebt waar je niet zonder kunt is dat wel de enige optie.

Er zijn ook nog verschillende toolkits waarmee je aan de slag kunt. Zonder eerst te analyseren wat je probleem nou eigenlijk is zomaar betalen lijkt me hoe dan ook niet verstandig - al is het maar omdat je geen indicatie hebt of je je bestanden terug kunt krijgen. In halve paniek zomaar geld gaan overmaken is het domste dat je kunt doen.

Nog even los van dat dit precies is waarom die troep opeens zo gangbaar is.

Bestaan er geen mail programma die standaard de bijlages niet verwerken cq trashen?
Want daar komt het gevaar vandaan. Niet de mail zelf.

Wellicht een 'work-around' voor al die mensen die overal maar op ja klikken.

Verwijderd schreef op maandag 21 maart 2016 @ 23:11:
[...]

Ik kan me niet aan de indruk onttrekken dat we collectief steeds achter de feiten aanlopen. Eerst waren het .docs met macro's, toen Javascript-bestanden, nu .zips en .exes. Filteren helpt, maar levert ook een vals gevoel van veiligheid op.

Daarom pleit ik er eigenlijk zelf wel voor om gewoon heel het fenomeen attachment af te schaffen. In bedrijfsmatige context mag het al niet eens meer als de attachments ook maar iets aan persoonlijke data bevat en je komt om van de clouddiensten waar je doodsimpel en veilig files mee kan delen.
E-mail kan je m.i. het best gewoon terugbrengen naar de basis en puur als communicatiemiddel gebruiken.

dutchgio schreef op dinsdag 29 maart 2016 @ 17:00:
Aanraden is het niet, maar zonder backup is het wel de enige mogelijkheid tot.
Uiteraard is dat geen oplossing van het probleem in z'n geheel maar als je echt gegevens hebt waar je niet zonder kunt is dat wel de enige optie.

Een alternatief is de data als verloren beschouwen en een les leren?
Serieus, al die mensen die nu "geen andere optie" hebben wat doen die als hun HDD gewoon oldschool crashed? 5000 euro aan zo'n data recovery toko overdragen in de hoop dat er wat te redden valt?

[ Voor 48% gewijzigd door Verwijderd op 29-03-2016 18:43 ]

Verwijderd schreef op dinsdag 29 maart 2016 @ 16:29:
nieuwe ransomware,mhoxmth locker, "betrouwbare factuur KPN mail" ontvangen en op geklikt, nu zijn alle jpg's van naam veranderd met de toevoeging mhoxmth, en alle pdf idem, kwijt, backup defect, 100.000 den foto's en pdf's weg, vragen geld voor decryptie, wie helpt mij ?

Niks "nieuwe ransomware", gewoon een willekeurige naam is er van gemaakt/achter geplakt zoals een van de vele bestaande cryptolockers.

Ik kreeg vanmorgen weer een laptop van iemand hier, haar collega had vorige week vrijdag een factuur van KPN geopend, dat was geen locky maar CTB-Locker. Blijkbaar was het virus niet helemaal klaar want ik kon alles terugzetten vanuit de "Vorige versies". Ze hadden wel een backup, maar die was al weer 5 weken oud, nu zijn ze maximaal 1 dag werk kwijt.

Wij hebben op de zaak al diverse klanten voorbij zien komen met o.a. Locky, maar ook TeslaCrypt en CTB locker etc. Tot op heden telkens een volledige backup kunnen herstellen, maar het blijft telkens vervelend, vooral voor de klant.

Wel las ik net een nieuwsartikel dat BitDefender een "Anti-ransomware" tool heeft uitgegeven. Iemand ervaring mee?

https://www.security.nl/p...'vaccin'+tegen+ransomware

Vaccin als in preventief, het kan de ransomware herkennen, wat veel virusscanners niet eens doen.

Zijn er bij jullie ook al gevallen bekend dat OSX besmet is met een encryptie virus ?

BCGraaf schreef op woensdag 30 maart 2016 @ 20:10:
Zijn er bij jullie ook al gevallen bekend dat OSX besmet is met een encryptie virus ?

Het zou wel een ideale doelgroep zijn, dus dat kan slechts een kwestie van tijd zijn.

BCGraaf schreef op woensdag 30 maart 2016 @ 20:10:
Zijn er bij jullie ook al gevallen bekend dat OSX besmet is met een encryptie virus ?

Is onlangs nog gebeurd: nieuws: Officiële versie Mac-app Transmission bevatte ransomware

bulletrene schreef op woensdag 30 maart 2016 @ 17:18:
Wij hebben op de zaak al diverse klanten voorbij zien komen met o.a. Locky, maar ook TeslaCrypt en CTB locker etc. Tot op heden telkens een volledige backup kunnen herstellen, maar het blijft telkens vervelend, vooral voor de klant.

Wel las ik net een nieuwsartikel dat BitDefender een "Anti-ransomware" tool heeft uitgegeven. Iemand ervaring mee?

https://www.security.nl/p...'vaccin'+tegen+ransomware

Zelfde verhaal hier, heb hem als preventie of om toch iets te doen alvast bij een hoop erop gezet.

Verwijderd schreef op woensdag 30 maart 2016 @ 20:18:
[...]

Het zou wel een ideale doelgroep zijn, dus dat kan slechts een kwestie van tijd zijn.

Volgens mij zit OSX veiligheidsarchitectuur iets beter in elkaar, zeker sinds de laatste versie. Zonder signature van Apple kan je geen kernel modules meer laden, en kan je standaard geen root-acties doen als applicatie. Alleen yes/ok/really ok aanklikken is niet genoeg, je moet in systeemvoorkeuren instellen dat unsigned applicaties mogen worden uitgevoerd, en dan voor root-acties je wachtwoord ingeven.
Het is uiteraard niet onmogelijk, maar wel een stuk moeilijker.

MBV schreef op zaterdag 02 april 2016 @ 18:03:
Volgens mij zit OSX veiligheidsarchitectuur iets beter in elkaar, zeker sinds de laatste versie. Zonder signature van Apple kan je geen kernel modules meer laden, en kan je standaard geen root-acties doen als applicatie. Alleen yes/ok/really ok aanklikken is niet genoeg, je moet in systeemvoorkeuren instellen dat unsigned applicaties mogen worden uitgevoerd, en dan voor root-acties je wachtwoord ingeven.
Het is uiteraard niet onmogelijk, maar wel een stuk moeilijker.

De achterliggende techniek is maar beperkt relevant. Een OS is altijd een complex stuk software, met diverse kwetsbaarheden waar misbruik van gemaakt kan worden. Wat je steevast ziet is dat de meest populaire software het het zwaarst te verduren krijgt. Apple heeft de afgelopen jaren steeds meer marktaandeel gekregen en vroeg of laat betekent dat dat ransomware ook naar OS X gaat komen. Tel daarbij op dat Apple-gebruikers meer willen uitgeven (sommige sites rekenen bijvoorbeeld meer voor bezoekers die met Apple-software browsen) en vooral ook dat gebruikers denken dat ze wel veilig zitten en het gaat een keer ontzettend mis.

Vooral dat laatste is een groot risico: denken dat jij niet kwetsbaar bent is ongeveer de grootste kwetsbaarheid die je kunt hebben. Daar kan geen technische maatregel tegenop.

Hier overigens hoe je via een group policy(geen idee of het ook op individuele pc's zo werkt) kunt afdwingen dat .exe niet kan worden gestart vanuit de temp directory, daar waar geopende bestanden in terecht komen:

https://blog.brankovucine...lock-viruses-and-malware/

Dinsdag 27 april 2016 is er weer een nieuwe uitbraak geweest. Het begon met een javascript in een .zip bestand (verstuurd als factuur, geopend via een of andere webmail). Namelijk deze:
https://www.virustotal.co...2fd8/analysis/1461854906/

Werd overigens wel door Windows Defender tegengehouden (na een vertraging), ook de Locky + Locky.Gen A die dit javascript downloadde en probeerde uit te voeren. De "facturen" (meervoud) zijn meerdere keren geprobeerd te openen.

[ Voor 5% gewijzigd door oheng op 29-04-2016 19:32 ]

En we zijn er nog niet vanaf, gisteren weer 9 gehad. Nu met een *.DOCM bijlage die in de macro het e.e.a. gaat uitvreten. 8 van deze waren Citrix servers die via Provision worden gemanaged, dus rebootje en all things clear (na goeie scan ofc). De laatste was een "simpele" 2012 RDS met een 2012 DC ernaast, alle shares gelockt, ben nu de backup aan het terugzetten, betalen=ondersteunen en daar doen we niet aan mee

Ook weer een paar meldingen gehad van vreemde mailtjes. Klanten gelukkig niks geopend.
Wel lijken de oudere ransomwares weer de kop op te steken. Maar die lijken een aantal virusscanners wel tegen te houden.
Bij een aantal oude infecties gelukkig de backup/snapshots goed voor elkaar.
Ook onlangs nog een .XTBL infectie gehad.

[ Voor 11% gewijzigd door Methmaniac op 13-05-2016 10:40 ]

Zie onder andere hier:
https://myonlinesecurity....-82-95-82-delivers-locky/

Afgelopen woensdag 31385 mails tegen kunnen houden met een JS file in een ZIP attachement. Na een upload van de JS file naar VirusTotal blijken slechts 5 van de 57 antivirus vendoren dit als virus te zien. In de omschrijving van NANO-Antivirus blijkt dit nog steeds om een Locky variant te gaan. Het einde is, ben ik bang, nog steeds niet in zicht.

Hier even de link naar VirusTotal analyse van het door mij geüploade JS bestand.
https://www.virustotal.co...05f7e33863e317b/analysis/

[ Voor 22% gewijzigd door jg77 op 13-05-2016 14:09 . Reden: Link toegevoegd ]

Een van onze klanten was ook de sigaar, bleef gelukkig beperkt tot de eigen pc. Backup policy is niet opgewassen tegen dit soort grappen, meteen een verbetertraject ingegaan om weerbaarheid te vergroten.

Blijft overigens frappant dat mensen er vooral zelf op klikken. Tegelijk zien de nep-mails er beter uit dan ooit.

Goed nieuws?

http://www.nu.nl/internet...onschadelijk-gemaakt.html

Of is dit een andere variant?

Staat er toch?
Teslacrypt vs. Locky

Daarom staan klikbare hyperlinks van niet geverifieerde afzenders toch uit?
Of doet alleen Gmail dat?

http://support.eset.com/kb6051/ > Teslacrypt 3 & 4
https://support.kaspersky.com/viruses/utility# > RannohDecryptor > CryptXXX

Hopelijk dat aan de hand hiervan ook voor andere ransomware decryptors komen.

Goed nieuws voor de slachtoffers die getroffen waren en de bestanden bewaard hebben. Men had wel geluk dat de makers mee wilden werken. Waarom men dat zou doen?

1. Men heeft voldoende geld binnen gehaald (alleen waarschijnlijk als het een lonewolf of kleine groep was)
2. Men denkt dat de politie aanknopingspunten heeft om de maker(s)/verspreider(s) te identificeren of wil simpelweg geen verder risico meer lopen.
3. Men heeft een nieuw project, daardoor heeft men nog steeds inkomsten maar met andere werkwijze en technische + financiele infrastructuur. Dan kan de politie weer vanaf 0 beginnen met opsporing.

Wij gebruiken al een paar jaar SecurityGateway en die heeft tot nog toe alle locky rommel tegengehouden (even afkloppen). SG heeft clam-av en Cyren als virusscanners en dat blijkt erg goed te werken.

sh4d0wman schreef op donderdag 19 mei 2016 @ 11:34:
Goed nieuws voor de slachtoffers die getroffen waren en de bestanden bewaard hebben. Men had wel geluk dat de makers mee wilden werken. Waarom men dat zou doen?

1. Men heeft voldoende geld binnen gehaald (alleen waarschijnlijk als het een lonewolf of kleine groep was)
2. Men denkt dat de politie aanknopingspunten heeft om de maker(s)/verspreider(s) te identificeren of wil simpelweg geen verder risico meer lopen.
3. Men heeft een nieuw project, daardoor heeft men nog steeds inkomsten maar met andere werkwijze en technische + financiele infrastructuur. Dan kan de politie weer vanaf 0 beginnen met opsporing.

Teslacrypt was wel een grote dus die eerste gaat waarschijnlijk sowieso niet op.
2+3 lijkt het meest aannemelijk.
Stoppen met huidige werkzaamheden en onder een nieuwe vorm verder gaan.

tiguan schreef op donderdag 19 mei 2016 @ 11:37:
SG heeft clam-av

Clam-AV lijkt redelijk waardeloos te zijn, daarbij regent het false positives - tot op het niveau dat je niet eens meer opkijkt als er een hit tevoorschijn komt.

Verwijderd schreef op donderdag 19 mei 2016 @ 11:45:
[...]

Clam-AV lijkt redelijk waardeloos te zijn, daarbij regent het false positives - tot op het niveau dat je niet eens meer opkijkt als er een hit tevoorschijn komt.

Klopt, vandaar ook de extra Cyren engine. Liever een false positive dan een infectie toch?

[ Voor 7% gewijzigd door tiguan op 19-05-2016 11:47 ]

Liever post ik het hier in plaats van een nieuw topic te openen..

Heeft iemand al (positief) nieuw over het Vegclass@aol.com.xtbl (Troldesh/Shade) virus?

ik heb Locky staan in o.a HKEY_CURRENT_USER en HKEY_USERS DEFAULT.
Verder totaal geen problemen.
Is dit een andere Locky?

Heb je de nieuwe versie? Eentje welke wacht voordat die actief wordt ook zorgt dat de backups besmet zijn?

Dus eerst wordt alles gecodeerd en bij gebruik real time gedecoreerd. Je hebt dan niets in de gaten. Later stopt de decryptie en is alles, incl backup, gecodeerd.

[ Voor 6% gewijzigd door holl op 27-06-2016 21:03 ]

Is er voor .locky al een decryptor.
Een kennis heeft het virus verwijderd via avg maar de tool: https://decrypter.emsisoft.com/autolocky vind niets om te gaan decrypten. Nog iemand ideën?
De links om de sleutel te bekomen werken ook niet meer:
|*$$.-=
!!! BELANGRIJKE INFORMATIE !!!!

Al je bestanden werden gecodeerd met RSA-2048 en AES-128 versleuteling.
Meer informatie over RSA kan je hier vinden:
Wikipedia: RSA (cryptografie)
Wikipedia: Advanced Encryption Standard

Het decoderen van je bestanden is enkel mogelijk met de privé sleutel en decoderingsprogramma,
dat zich op onze geheime server bevind.
Volg één van deze links om je privé sleutel te ontvangen:
1. http://(knip).tor2web.org/(knip)
2. http://(knip)s.onion.to/(knip)
3. http://(knip).onion.cab/(knip)

Als al deze adressen niet beschikbaar zijn, voIg dan deze stappen:
1. Download en installeer de Tor Browser: https://www.torproject.org/download/download-easy.html
2. Na het installeren, start je de browser en wacht tot hij opstart.
3. Typ in the adresbalk: (knip).onion/(knip)
4. Volg de instructies op de site.

!!! Je persoonlijke identificatie ID: (knip)

[ Voor 9% gewijzigd door F_J_K op 28-06-2016 09:06 . Reden: Persoonlijke key weggeknipt. Hoeft niet voor iedereen zichtbaar te zijn ]

henk1234567890 schreef op maandag 27 juni 2016 @ 19:12:
ik heb Locky staan in o.a HKEY_CURRENT_USER en HKEY_USERS DEFAULT.
Verder totaal geen problemen.
Is dit een andere Locky?

Wat is het volledige pad wat je hebt gevonden in de registry? Het zou inderdaad een slapende variant kunnen zijn, die dus later actief wordt.

HKEY_CLASSES_ROOT SOFTWARE

[ Voor 20% gewijzigd door henk1234567890 op 28-06-2016 12:20 ]

belrpr schreef op maandag 27 juni 2016 @ 21:18:
Is er voor .locky al een decryptor.
Een kennis heeft het virus verwijderd via avg maar de tool: https://decrypter.emsisoft.com/autolocky vind niets om te gaan decrypten. Nog iemand ideën?
De links om de sleutel te bekomen werken ook niet meer:
|*$$.-=
!!! BELANGRIJKE INFORMATIE !!!!

Al je bestanden werden gecodeerd met RSA-2048 en AES-128 versleuteling.
Meer informatie over RSA kan je hier vinden:
Wikipedia: RSA (cryptografie)
Wikipedia: Advanced Encryption Standard

Het decoderen van je bestanden is enkel mogelijk met de privé sleutel en decoderingsprogramma,
dat zich op onze geheime server bevind.
Volg één van deze links om je privé sleutel te ontvangen:
1. http://(knip).tor2web.org/(knip)
2. http://(knip)s.onion.to/(knip)
3. http://(knip).onion.cab/(knip)

Als al deze adressen niet beschikbaar zijn, voIg dan deze stappen:
1. Download en installeer de Tor Browser: https://www.torproject.org/download/download-easy.html
2. Na het installeren, start je de browser en wacht tot hij opstart.
3. Typ in the adresbalk: (knip).onion/(knip)
4. Volg de instructies op de site.

!!! Je persoonlijke identificatie ID: (knip)

Autolocky, waarvoor de tool is, is een andere variant dan Locky. Mogelijk heb je de 'gewone' Locky variant, waardoor de tool dus ook niet werkt. Locky is zover ik weet niet te kraken.

ls,
Sinds 27 juni Locky in het register.
Tot op heden geen probleem.
Ik heb Bitdefender Anti-Ransomware draaien .

Die software voegt die regels zelf aan het register toe, als mogelijk preventief middel om aan te geven dat de ransomware al actief is en niet nogmaals uitgevoerd wordt.

Locky bij mij ( nog ) niet actief.
Wanneer ik de HD formatteer met bv Darik's Boot And Nuke , is .locky dan verwijderd?

henk1234567890 schreef op dinsdag 23 augustus 2016 @ 22:45:
Locky bij mij ( nog ) niet actief.
Wanneer ik de HD formatteer met bv Darik's Boot And Nuke , is .locky dan verwijderd?

Hoeft niet, want je hebt geen Locky.

Zoals ik al eerder aangaf, die registerregel komt door die Bitdefender anti-ransomware.

dutchgio,
Hartelijk dank voor de reactie.
ik sap het

dutchgio schreef op dinsdag 09 augustus 2016 @ 10:31:
Die software voegt die regels zelf aan het register toe, als mogelijk preventief middel om aan te geven dat de ransomware al actief is en niet nogmaals uitgevoerd wordt.

Dat zou inderdaad de bedoeling moeten zijn. Doen alsof je al geïnfecteerd bent en dan laat een echte infectie je met rust omdat het denkt dat je al de pineut bent. Tot dat ook doorzien wordt natuurlijk.

Gister te maken gekregen met de nieuwe locky variant: Zepto.
E.e.a. aan netwerk shares waar everyone schrijfrechten hadden zijn wat files encryped/vervangen voor .zepto
Meer mensen die deze al zijn tegen gekomen?

Ls,
Wanneer ik op het pictogram "instellingen" tik krijg ik een beeld van 5x5 cm , dit kan ik niet scherm vullend maken.
Wie kan mij uit de droom helpen?

Met vriendelijke groet,
henknan

? Ik begrijp niet wat je vraag of situatie is? Als nog steeds besmet: pak je backup,leeg alles, zet backup terug.

Ik kan me niet voorstellen dat je vijf jaar later nog besmet bent, het zal iets anders zijn. Open ajb een eigen nieuw topic met alle relevante informatie over de situatie, oplospogingen, etc. Dan kunnen we beter meedenken.